A pattern- and component-based method to develop secure software

Mehr zum Buch

Wir präsentieren eine Security Engineering-Methode mit starkem Fokus auf die frühen Phasen der Software-Entwicklung, insbesondere auf Requirements Engineering, Spezifikation und Architekturentwurf. Der Ansatz, genannt Security Engineering Process using Patterns (SEPP), ordnet jeder Phase verschiedene Muster zu. In der ersten Phase kommen Security Problem Frames und Concretized Security Problem Frames zum Einsatz, die Muster für das Security Requirements Engineering darstellen. Security Problem Frames strukturieren und analysieren häufige Probleme im Security Engineering, während Concretized Security Problem Frames erste Lösungsansätze bieten. Diese Frames sind in einem Muster-System organisiert, das Abhängigkeiten zwischen ihnen explizit macht. Wir erläutern, wie dieses System zur Analyse von Security-relevanten Softwareentwicklungsproblemen und zur systematischen Bestimmung von Lösungsansätzen verwendet werden kann. Zudem bieten wir eine formale Grundlage für die Frames, um Werkzeugunterstützung für SEPP zu ermöglichen. In der zweiten Phase wird der Übergang von Security Requirements zu den ersten Elementen des Software-Designs behandelt, wobei semi-formale Spezifikationen entwickelt werden, die die Interaktion der Software mit ihrer Umgebung beschreiben. Formale Muster für Vertraulichkeitsanforderungen werden ebenfalls präsentiert. In der dritten Phase werden die identifizierten Security Requirements durch Generic Security A